Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf Gruppenrichtlinie unter Windows 7 nicht möglich

Frage Microsoft Windows Server

Mitglied: milhouse

milhouse (Level 1) - Jetzt verbinden

14.09.2010, aktualisiert 18.10.2012, 11354 Aufrufe, 9 Kommentare

Hallo zusammen,

ich habe eine Gruppenrichtlinie mit Sicherheitsfilterung angelegt (Infos hier). Eigentlich funktioniert soweit alles – die Richtlinie wird an die entsprechenden PCs verteilt und nur bei den Nutzern ausgeführt, die in der Gruppe der Sicherheitsfilterung Mitglied sind.

Jetzt kam ein neuer Client mit Windows 7 hinzu. Dieser holt sich, bis auf diese eine, alle für ihn vorgesehenen Richtlinien. Zur Prüfung des Problems habe ich folgendes probiert:
(1) Ich habe als erstes im Ereignisprotokoll nachgeschaut – aber keinen Fehler gefunden.
(2) Mit rsop.msc den Richtlinienergebnissatz angeschaut. Ergebnis: Das Skript, welches die Richtlinie aufruft, wird nicht am Client ausgeführt.
(3) Danach habe ich mit der Management Console ein Gruppenrichtlinienergebnis für den Win7-Client und den Nutzer erstellt. Dort taucht die Richtlinie unter "Abgelehnte Gruppenrichtlinienobjekte" auf. Anstelle der Bezeichnung steht die Kennung "{c4xxxx-xxxx-xxxx-xxxxxx}" und als Grund ist "Zugriff nicht möglich" aufgelistet.
(4) Ich habe den Benutzer, um den es geht, testweise in die Sicherheitsfilterung aufgenommen. Keine Besserung.
(5) Unter dem Benutzernamen an einem XP-Client angemeldet. Keinerlei Probleme – ausnahmslos alle vorgesehenen Richtlinien werden angewendet.
(6) Am Win7-Client mit anderem User angemeldet, der die gleiche Richtlinie ausführen soll. Auch mit diesem User wird die eine Richtlinie nicht angewendet ("Zugriff nicht möglich").

Kennt jemand das Problem und eine Lösung? Warum verweigert ein Win7-Client den Zugriff auf eine Richtlinie die der gleiche Benutzer an einem XP-Client zugewiesen bekommt.

Ich hoffe, ich habe alles einigermaßen verständlich erklärt und freue mich auf Eure Antworten.
Mitglied: creyzee
14.09.2010 um 19:46 Uhr
Hallo,

Startscripts werden auch von Windows 7 Clients ausgeführt. Es kann also nur an dem Inhalt des Scriptes liegen. Was soll das denn machen?

Viele Grüße vom creyzee
Bitte warten ..
Mitglied: milhouse
15.09.2010 um 07:52 Uhr
Zitat von creyzee:

Startscripts werden auch von Windows 7 Clients ausgeführt.

Ja, alle andere GPOs werden auch angewendet und einige davon rufen ebenfalls Skripte auf. Wie oben unter 3 beschrieben zeigt das Gruppenrichtlinienergebnis bei dieser (und nur dieser) GPO "Zugriff nicht möglich".

Zitat von creyzee:

Es kann also nur an dem Inhalt des Scriptes liegen.

Eher nein. Wenn ich das Skript manuell ausführe funktioniert es einwandfrei. Zudem wird es ja laut rsop.msc nicht aufgerufen.

Zitat von creyzee:

Was soll das denn machen?

Zwei Einträge in die Registry schrieben. Eine andere GPO ruft ein Skript auf, das fast identische Einträge an anderer Stelle in die Registry schreibt.
Bitte warten ..
Mitglied: creyzee
16.09.2010 um 07:29 Uhr
Hallo,

sorry, ich hatte gestern noch Urlaub und da habe ich am Haus gearbeitet.

Wenn das Script nach der Anmeldung bei manueller Ausführung funktioniert, dann könnte es an den ACL der Registry-Zweige liegen. Vergleiche mal die ACL mit den Registry-Zweigen, welche von der anderen GPO geändert werden.

Viele Grüße vom creyzee
Bitte warten ..
Mitglied: milhouse
16.09.2010 um 08:53 Uhr
Die Berechtigungen der Zweige sind absolut identisch.

Wir reden gerade etwas aneinander vorbei. Das Skript wird nicht ausgeführt, da der User an einem Windows 7 Client keinen Zugriff auf die GPO hat. An einem XP-Client kommt der gleiche Benutzer abr an die GPO.
Bitte warten ..
Mitglied: creyzee
16.09.2010 um 18:02 Uhr
Hallo,

Ich hatte mal nen ähnlichen Fall. Da versuchte eine GPO ein Script aufzurufen, das Änderungen vornehmen wollte, die durch die Benutzerkontensteuerung blockiert wurden. Dadurch wurde das Script nicht ausgeführt und die GPO wurde abgelehnt...

Hast du vielleicht ein Problem mit der Sicherheitsfilterung der GPO? Wer darf denn die GPO "lesen"? Wenn du das Script unter Computer\...\Starten&Herunterfahren stehen hast, dann muss dem Computerkonto Leserecht gewährt werden. Um das auszuschließen gibt mal der Gruppe "authentifizierte Benutzer" (das sind auch Compuerkonten) Leserechte.

Wobei das schon merkwürdig ist, weil ja die XP-Clients die GPO verarbeiten...aber ich kenne ja nicht deine Gruppen- und OU-Strukturen.

Viele Grüße vom creyzee
Bitte warten ..
Mitglied: creyzee
16.09.2010, aktualisiert 18.10.2012
Hallo,

ich habe mal weiter nach ner Lösung gesucht. Vielleicht findest du ja was in dieser Frage: http://www.administrator.de/forum/windows-7-rc-f%c3%bchrt-startskript-a ...

Da geht es um ein ähnliches Szenario. Folgende Ansätze klingen interessant:
a) Schalte mal die UAC ab.
b) leg auf das Script eine Überwachung an und schau mal, ob es überhaupt angefasst wird
c) baue in das Script eine Pause ein und konfiguriere sichtbare StartScripte
d) konfiguriere in der GPO "beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten"

Viele Grüße, creyzee
Bitte warten ..
Mitglied: milhouse
20.09.2010 um 08:23 Uhr
Zur ersten Antwort:
Wenn ich "authentifizierte Benutzer" eintrage, funktioniert es.
Der Benutzer ist aber auch in der Sicherheitsgruppe die normalerweise in der Sicherheitsfilterung eingestellt ist.
Dann habe ich die "authentifizierten Benutzer" wieder entfernt und nochmals das Win7-Notebook in die Sicherheitsfilterung eingetragen. Bringt aber auch keine Besserung, da es ja eine Benutzerrichtlinie ist die per LBVM für eine bestimmte OU verteilt wird.

Zur zweiten Antwort:
UAC ist bereits abgeschaltet. Das Skript wird aber nicht angefasst.
Bitte warten ..
Mitglied: milhouse
20.09.2010 um 10:03 Uhr
Ich habe nochmals mit etwas Wartezeit einen Versuch gestartet. Wenn ich den Win7-Client in die Sicherheitsfilterung reinnehme, geht es scheinbar (Beim ersten Versuch war ich wohl zu schnell. Die Gegenprobe brachte auch das entsprechende Ergebnis).

Aber richtig erklären kann ich es mir nicht. Die Richtlinie macht ja nur Benutzereinstellungen. Und warum geht es an XP-Clients auch ohne den Eintrag in der Sicherheitsfilterung.

Da die Richtlinie ja nicht für alle gültig ist, müsste ich dann wohl eine Gruppe mit allen Computern anlegen, die ich in die Sicherheitfilterung eintrage, richtig?
Bitte warten ..
Mitglied: creyzee
21.09.2010 um 20:15 Uhr
Hallo,

sorry, habe momentan viel um die Ohren...

Die Wartezeiten lassen mich auch immer wieder verzweifeln.

Der Benutzer ist in der Sicherheitsgruppe, welche für die Filterung verwendet wird. Aber ist auch den Win7-Client in dieser Gruppe? Wenn nein, dann erklärt das, warum es für die Clients nicht funktioniert: du verwendest LBVM! In der Gruppe "authentifizierte Benutzer" sind nicht nur Benutzer, sondern auch Computerkonten drin!

Daher wird deine Vermutung richtig sein: du brauchst eine Gruppe mit den erforderlichen Computerkonten, die du dann auch für die Sicherheitsfilterung verwendest.

Schreibe mal, was da raus kommt. Viele Grüße vom creyzee
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Gruppenrichtlinien deaktivieren Windows 7
gelöst Frage von 129904Windows Userverwaltung8 Kommentare

Hallo zusammen, vielleicht kann mir ja jemand helfen. Ich hab versucht nur ein bestimmte Programm freizugeben, zum Beispiel bei ...

Windows Installation
Windows 7 Installation nicht möglich
Frage von Jabberwocky86Windows Installation8 Kommentare

Hallo zusammen Ich bin gerade mit meinem Latein am Ende und dachte vielleicht habt ihr noch eine gute Idee. ...

Windows 7
Windows 7 kein Zugriff auf Datenfreigaben
gelöst Frage von BobderBaumeisterWindows 73 Kommentare

Guten Morgen, auf einem Windows 7 64bit Notebook ist seit gestern der Zugriff auf Datenfreigaben (Fileserver etc.) nicht mehr ...

Windows 7
Windows 7 Datenbankserver kein Zugriff
gelöst Frage von Pidarass86Windows 76 Kommentare

Hallo Es geht um ein kleines Firmennetzwerk bestehen aus 5 Computern mit dem Betriebssystem Windows 7 und G-DATA Internet ...

Neue Wissensbeiträge
Windows 10

Windows 10 Hello-Anmeldung per Foto ausgehebelt

Tipp von kgborn vor 1 StundeWindows 10

Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe), setzt aber ...

Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 9 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 10 StundenSicherheit1 Kommentar

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1012 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Heiß diskutierte Inhalte
Windows Server
SCCM 2016: PXE Boot des Clients schlägt fehl
Frage von gabeBUWindows Server22 Kommentare

Hallo Zusammen Ich habe eine Testumgebung erstellt um über SCCM 2016 einen virtuellen Client aufzusetzen. Folgende Maschinen habe ich ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen19 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Logging von "gesendeten Nachrichten" auf Terminalservern
gelöst Frage von Z3R0C0MM4N0THiN6Windows Server10 Kommentare

Hallo zusammen, kann mir jemand auf kurzem Wege sagen ob 1) die per Task-Manager (oder damals tsadmin) an Benutzer ...